簡體 English 中英

CSP style-src SHA256 存在，但瀏覽器發出警告說它不是

[英]CSP style-src SHA256 present, but browser issues warning that it isn't

原文 2021-12-20 19:37:25 2 1 nginx/ content-security-policy

我已將以下 CSP 添加到我的 nginx 配置中：

add_header Content-Security-Policy "default-src 'none'; script-src 'self'; img-src *.gravatar.com; script-src-elem 'self' 'sha256-HeezHnLPgcw5524/5YMbWWQXJ/fdKZsQX5vG75t'1 -FVzC2JpGNv45prICvPCadmKf+wnLz6Eem3UQaAnTK/4=' 'sha256-Tr3bLHN4KJG2A/qFIDTX+Yb0nG+Z+HS9VAD6k0/r+vY=' 'sha256-NYk7Q8DQLjjJRwkQ9oG2juhRXSdsOjLWMy0IpXWymRc=' 'sha256-pu6oe0vPSMzzITPF3U0Z8qBWhbBKykixk7D9kFsDySY='; script-src-attr 'self'; style- src 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='; style-src-elem 'self' 'sha256-OyKg6OHgnmapAcgq002yGA58wB21FOR7EcTwPWSs54E=' 'sha256-CK/6NyEbsJb3V2Bo26t3s0V3RAi3gTWWrjUNGLIZLfw=' 'sha256-hc4UHa0RDFRaKgh++CLvhy5nf4yco/u+xPDeTrTejhg='; ";

我的瀏覽器 (Chrome) 發出以下警告：

拒絕應用內聯樣式，因為它違反了以下內容安全策略指令：“style-src 'self' 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='”。 啟用內聯執行需要“unsafe-inline”關鍵字、hash（“sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY=”）或隨機數（“nonce-...”）。 請注意，哈希不適用於事件處理程序、樣式屬性和 javascript: 導航，除非存在“unsafe-hashes”關鍵字。

如您所見，hash style-src 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='存在並設置，但瀏覽器說仍然存在問題。

我無法解決這個問題。 有什么幫助嗎？